El fallo de DMARC en sus mensajes es una causa de preocupación si usted es una organización que depende en gran medida de los correos electrónicos para las comunicaciones externas e internas. Hay métodos y herramientas que puede utilizar en línea (de forma gratuita) para detener los fallos de DMARC en sus correos electrónicos.
En este artículo, vamos a desmenuzar cuidadosamente las 6 razones principales de los fallos de DMARC y cómo puede mitigarlas para mejorar la entregabilidad.
Antes de pasar a ver por qué falla el DMARC, veamos qué es y cómo le ayuda:
DMARC es una actividad clave en su política de autenticación de correo electrónico para ayudar a evitar que los correos electrónicos "falsos" pasen los filtros de spam transaccional. Pero es sólo un pilar de un programa antispam general, y no todos los informes DM ARC son iguales. Algunos le indicarán la acción exacta que los receptores de correo realizaron en cada mensaje, y otros sólo le dirán si un mensaje tuvo éxito o no. Entender por qué un mensaje falló es tan importante como saber si lo hizo.
Razones comunes que pueden hacer fallar el DMARC
Identificar por qué está fallando el DMARC puede ser complicado. Sin embargo, voy a repasar algunas razones típicas, y los factores que contribuyen a ellas, para que usted, como propietario del dominio, pueda trabajar para rectificar el problema más rápidamente.
Fallos de alineación de DMARC
DMARC utiliza la alineación de dominios para autenticar sus correos electrónicos. Esto significa que DMARC verifica si el dominio mencionado en la dirección del remitente (en la cabecera visible) es auténtico comparándolo con el dominio mencionado en la cabecera oculta Return-path (para SPF) y la cabecera de firma DKIM (para DKIM). Si cualquiera de los dos coincide, el correo electrónico pasa el DMARC, o bien el DMARC falla.
Por lo tanto, si sus correos electrónicos están fallando DMARC puede ser un caso de desalineación de dominio. Es decir, ni los identificadores SPF ni DKIM están alineados y el correo electrónico parece ser enviado desde una fuente no autorizada. Sin embargo, ésta es sólo una de las razones por las que falla el DMARC.
Modo de alineación DMARC
El modo de alineación del protocolo también desempeña un papel importante en la aprobación o no de los mensajes de DMARC. Puede elegir entre los siguientes modos de alineación para la autenticación SPF:
- Relajado: Esto significa que si el dominio en la cabecera Return-path y el dominio en la cabecera From es simplemente una coincidencia organizativa, incluso entonces SPF pasará.
- Estricto: Significa que sólo si el dominio en la cabecera Return-path y el dominio en la cabecera From coinciden exactamente, sólo entonces SPF pasará.
Puede elegir entre los siguientes modos de alineación para la autenticación DKIM:
- Relajado: Esto significa que si el dominio en la firma DKIM y el dominio en la cabecera De es simplemente una coincidencia organizativa, incluso entonces DKIM pasará.
- Estricto: Significa que sólo si el dominio en la firma DKIM y el dominio en la cabecera From coinciden exactamente, sólo entonces DKIM pasará.
Tenga en cuenta que para que los correos electrónicos pasen la autenticación DMARC, es necesario que el SPF o el DKIM estén alineados.
No configurar la firma DKIM
Un caso muy común en el que su DMARC puede estar fallando es que no haya especificado una firma DKIM para su dominio. En estos casos, su proveedor de servicios de intercambio de correo electrónico asigna una firma DKIM por defecto a sus correos electrónicos salientes que no se alinean con el dominio en su cabecera De. El MTA receptor no logra alinear los dos dominios y, por lo tanto, DKIM y DMARC fallan para su mensaje (si sus mensajes están alineados con SPF y DKIM).
No añadir fuentes de envío a sus DNS
Es importante tener en cuenta que cuando se configura DMARC para su dominio, los MTAs receptores realizan consultas de DNS para autorizar sus fuentes de envío. Esto significa que a menos que tenga todas sus fuentes de envío autorizadas en el DNS de su dominio, sus correos electrónicos fallarán DMARC para aquellas fuentes que no están en la lista, ya que el receptor no sería capaz de encontrarlas en su DNS. Por lo tanto, para asegurarse de que sus correos electrónicos legítimos siempre se entregan, asegúrese de hacer entradas en todos sus proveedores de correo electrónico de terceros autorizados que están autorizados a enviar correos electrónicos en nombre de su dominio, en su DNS.
En caso de reenvío de correo electrónico
Durante el reenvío de correo electrónico, el correo electrónico pasa por un servidor intermediario antes de llegar al servidor receptor. Durante el reenvío de correo electrónico, la comprobación SPF falla, ya que la dirección IP del servidor intermediario no coincide con la del servidor remitente, y esta nueva dirección IP no suele incluirse en el registro SPF del servidor original. Por el contrario, el reenvío de correos electrónicos no suele afectar a la autenticación DKIM del correo electrónico, a no ser que el servidor intermediario o la entidad reenviadora realicen ciertas alteraciones en el contenido del mensaje.
Como sabemos que el SPF falla inevitablemente durante el reenvío de correo electrónico, si en el caso de que la fuente de envío sea neutral en cuanto a DKIM y confíe únicamente en el SPF para la validación, el correo electrónico reenviado se convertirá en ilegítimo durante la autenticación DMARC. Para resolver este problema, debería optar inmediatamente por el cumplimiento total de DMARC en su organización, alineando y autenticando todos los mensajes salientes tanto con SPF como con DKIM, ya que para que un correo electrónico pase la autenticación DMARC, se requeriría que el correo pasara la autenticación y alineación de SPF o DKIM.
Su dominio está siendo suplantado
Si tienes tus protocolos DMARC, SPF y DKIM correctamente configurados para tu dominio, con tus políticas en vigor y registros válidos sin errores, y el problema no es ninguno de los casos mencionados anteriormente, entonces la razón más probable por la que tus correos electrónicos están fallando DMARC es que tu dominio está siendo suplantado o falsificado. Esto ocurre cuando los suplantadores y los actores de amenazas intentan enviar correos electrónicos que parecen provenir de su dominio utilizando una dirección IP maliciosa.
Las recientes estadísticas de fraude por correo electrónico han concluido que los casos de falsificación de correo electrónico están aumentando en los últimos tiempos y son una amenaza muy grande para la reputación de su organización. En estos casos, si tiene DMARC implementado en una política de rechazo, fallará y el correo electrónico falsificado no se entregará a la bandeja de entrada de su destinatario. Por lo tanto, la suplantación de dominio puede ser la respuesta a por qué falla el DMARC en la mayoría de los casos.
¿Por qué falla el DMARC en los proveedores de correo de terceros? (Gmail, Mailchimp, Sendgrid, etc)
Si utiliza proveedores de correo externos para enviar correos electrónicos en su nombre, debe activar DMARC, SPF y/o DKIM para ellos. Puede hacerlo poniéndose en contacto con ellos y pidiéndoles que se encarguen de la implementación por usted, o puede tomar el asunto en sus manos y activar manualmente los protocolos. Para ello, debe tener acceso al portal de su cuenta alojada en cada una de estas plataformas (como administrador).
Si tus mensajes de Gmail fallan en el DMARC, pasa por encima del registro SPF de tu dominio y comprueba si has incluido _spf.google.com en él. Si no es así, este puede ser el motivo por el que los servidores receptores no identifican a Gmail como tu fuente de envío autorizada. Lo mismo ocurre con tus correos electrónicos enviados desde Mailchimp, Sendgrid y otros.
¿Cómo solucionar el fallo de DMARC?
Para solucionar los fallos de DMARC, le recomendamos que se registre en nuestro Analizador de DMARC gratuito y comience su viaje de información y supervisión de DMARC.
#Paso 1: Con una política de ausencia, puede empezar por supervisar su dominio con los informes agregados de DMARC (RUA) y vigilar de cerca sus correos electrónicos entrantes y salientes, esto le ayudará a responder a cualquier problema de entrega no deseado
#Paso 2: Después de esto, le ayudamos a cambiar a una política aplicada que, en última instancia, le ayudará a ganar inmunidad contra la suplantación de dominios y los ataques de phishing
#Paso 3: Retirar las direcciones IP maliciosas y denunciarlas directamente desde la plataforma PowerDMARC para evitar futuros ataques de suplantación de identidad, con la ayuda de nuestro motor de Inteligencia de Amenazas
#Paso 4: Habilitar los informes forenses DMARC (RUF) para obtener información detallada sobre los casos en los que sus correos electrónicos han fallado DMARC para que pueda llegar a la raíz del problema y solucionarlo más rápidamente
¿Cómo hacer frente a los mensajes que fallan el DMARC?
Tenga en cuenta que un correo electrónico puede fallar DMARC debido a circunstancias habituales como una amenaza de suplantación, fallando la alineación para a) sólo DKIM b) sólo SPF c) ambos. Si falla ambos, su mensaje se considerará no autorizado. Puede configurar una política DMARC adecuada para instruir a los receptores sobre cómo responder a estos correos electrónicos.
Espero que podamos resolver el problema de por qué falla DMARC en su dominio y proporcionar una solución sobre cómo arreglar el problema fácilmente. Para evitar la suplantación de dominios y supervisar su flujo de correo electrónico con PowerDMARC, hoy mismo.
- ¿Cómo arreglar "El registro DNS tipo 99 (SPF) ha sido obsoleto"? - 9 de marzo de 2023
- SPF DKIM DMARC: Los elementos fundamentales de la autenticación del correo electrónico - 9 de marzo de 2023
- ¿Qué es un ataque de fuerza bruta y cómo funciona? - 9 de marzo de 2023